CSRF(Cross-site request forgery, 한국어: 사이트 간 요청 위조 또는 크로스 요청 위조)는 웹사이트를 대상으로 하는 취약점 공격으로 사용자 자신의 의지와 무관하게 공격자가 의도한 행위를 서버에 요청하게 하는 행위(등록, 수정, 삭제, 추천 등)를 말한다. XSRF라는 약자로 불리우기도 한다.
CSRF 공격의 예시편집
아래는 CSRF 공격의 예시이다. CSRF 공격이 무조건 아래의 과정대로 이뤄지는 것은 아님에 유의.
- 이용자는 웹사이트에 로그인하여 정상적인 쿠키를 발급받는다
- 공격자는 다음과 같은 링크를 이메일이나 게시판 등의 경로를 통해 이용자에게 전달한다.
- http://www.geocities.com/attacker
- 공격용 HTML 페이지는 다음과 같은 이미지태그를 가진다.
<img src= "https://travel.service.com/travel_update?.src=Korea&.dst=Hell">
- 해당 링크는 클릭시 정상적인 경우 출발지와 도착지를 등록하기위한 링크이다. 위의 경우 도착지를 변조하였다.
- 이용자가 공격용 페이지를 열면, 브라우저는 이미지 파일을 받아오기 위해 공격용 URL을 연다.
- 이용자의 승인이나 인지 없이 출발지와 도착지가 등록됨으로써 공격이 완료된다. 해당 서비스 페이지는 등록 과정에 대해 단순히 쿠키를 통한 본인확인 밖에 하지 않으므로 공격자가 정상적인 이용자의 수정이 가능하게 된다.
엠엘비파크가 위와 비슷한 방식[A]으로 CSRF를 당하여 특정 게시물의 추천수가 비정상적으로 늘어나는 일이 있었다.
XSS와의 구별편집
공격용 HTML 코드를 사용하여 공격한다는 공통점이 존재하고 XSS와 CSRF를 병행하여 공격하는 경우도 있기에 XSS와 혼동하는 경우가 꽤 있다. XSS와 CSRF를 구별하는 기준은 공격 타깃으로, XSS는 사용자가 공격 타깃[B]이지만 CSRF는 서버를 대상으로 하여 사용자는 타의로 일종의 사냥개가 되도록 하는 공격 수법이다.
사례편집
- 옥션의 개인정보 유출이 CSRF 공격을 통해 이루어 진 것으로 알려졌다. 옥션 직원이 이메일을 확인하는 순간 내부 신분확인 정보와 비밀번호가 자동으로 해커한테 넘어왔는데[2] 여기서 CSRF 수법이 쓰인 것으로 알려졌다. 이러한 방법으로 관리자 계정을 탈튀한 뒤 탈취한 관리자 계정의 권한을 이용해서 악성 프로그램을 업로드하여 개인정보를 빼낸 것.
- 대선 기간때 일어난 엠엘비파크의 추천 조작은 CSRF를 통해 이루어졌다. 운영자의 공지에 따르면 이미지태그에 특정 게시물을 자동으로 추천할 수 있는 URL이 삽입되어 있었다고 했는데[1] 전형적인 CSRF 수법이다.
내용주편집
참조주편집
- ↑ 1.0 1.1 담당자. “엠팍 추천수 조작 게시물 관련 공지”. 《MLB파크》. 2023년 3월 24일에 확인함.
- ↑ 조형래; 김덕한; 김종호 (2008년 2월 5일). “회원 1800만명… 개인정보 대거 유출 우려”. 《조선비즈》. 2023년 3월 24일에 확인함.
이 문서의 일부 내용은 한국어 위키백과의 CSRF 문서 31533839판에서 파생되었습니다.